Forwarded from Ivan Begtin (Ivan Begtin)
Публикую обещанную открытую часть материалов. По ссылке можно прочитать обзор 16 удостоверяющих центров из которых 9 государственные и во всех из них можно получить персональные данные в виде ФИО, места работы, email, ИНН и СНИЛС по физ. лицам через общедоступные реестры сертификатов. В общей сложности это около 63 тысяч записей о физ. лицах.
Ссылка на исследование: https://begtin.tech/pdleaks-p1-uc/
Это очень длинный лонгрид, с документированными примерами и скриншотами по каждому случаю, а также последовательностью воспроизведения.
Обратите внимание на то что:
- исследование проводилось в августе-сентябре 2018 года и в некоторых случаях проблема уже исправлена, но в это меньшая часть УЦ в которых вскрылась подобная ситуация;
- никаких несанкционированных действий в отношении УЦ не проводилось, был анализ только общедоступной информации;
В данном конкретном случае с удостоверяющими центрами проблема в регулировании и в применении этого регулирования УЦ. Подробнее об этом в тексте.
И, я ещё раз оговорюсь, публикуемое - это меньшая часть общего исследования по ситуации с персональными данными в созданных или регулируемых государством информационных системах. Во многих других случаях ситуация значительно хуже.
#data #privacy #personaldata
Ссылка на исследование: https://begtin.tech/pdleaks-p1-uc/
Это очень длинный лонгрид, с документированными примерами и скриншотами по каждому случаю, а также последовательностью воспроизведения.
Обратите внимание на то что:
- исследование проводилось в августе-сентябре 2018 года и в некоторых случаях проблема уже исправлена, но в это меньшая часть УЦ в которых вскрылась подобная ситуация;
- никаких несанкционированных действий в отношении УЦ не проводилось, был анализ только общедоступной информации;
В данном конкретном случае с удостоверяющими центрами проблема в регулировании и в применении этого регулирования УЦ. Подробнее об этом в тексте.
И, я ещё раз оговорюсь, публикуемое - это меньшая часть общего исследования по ситуации с персональными данными в созданных или регулируемых государством информационных системах. Во многих других случаях ситуация значительно хуже.
#data #privacy #personaldata
Ivan Begtin blog
Утечки персональных данных из удостоверяющих центров
В данном исследовании были проанализированы утечки таких видов персональных данных как СНИЛС, паспортные данные, сведения о трудоустройстве, сведения о ситуации с работодателем.
Forwarded from Ivan Begtin (Ivan Begtin)
По утечкам персональных данных из государственных и регулируемых государством информсистем.
Следующий обзор - онлайнинспекция.рф
https://begtin.tech/pdleaks-p2-oninsp/
Это одна из наименьших утечек перс данных, около 1000 записей. Но есть случаи и посерьёзнее. На основе этого примера будет понятно как многие из них можно выявлять.
#privacy #personaldata
Следующий обзор - онлайнинспекция.рф
https://begtin.tech/pdleaks-p2-oninsp/
Это одна из наименьших утечек перс данных, около 1000 записей. Но есть случаи и посерьёзнее. На основе этого примера будет понятно как многие из них можно выявлять.
#privacy #personaldata
Ivan Begtin blog
Утечки персональных данных из регулируемых государством информационных систем. Часть 2. ОнлайнИнспекция.Рф
По данным сайта онлайнинспекция.рф на нем рассмотрено 230 тысяч обращений граждан. В виду ошибок в настройке сайта – эти обращения индексируются поисковыми системами. В частности, поисковая система Google проиндексировала 15 тысяч обращений и при поиске
Forwarded from Ivan Begtin (Ivan Begtin)
По поводу "утечки паспортов" с электронным голосованием не могу не продолжить. Много лет назад, когда деревья были большими, а я меньше работал с большими данными, я начал (и, эх, не закончил) книгу под названием "скрытые данные" которая была посвящена извлечению данных из многочисленных кодов, численных и буквенных, которые нас окружают. Там было о том как читать ОГРН, ИНН и так далее, бесконечное число кодов для расшифровки. Более 99 я тогда проанализировал и, даже, вздох, тогда ещё думал формулировать их онтологию ибо многие были взаимосвязаны.
Номера паспортов в России - это тоже некоторые уникальные коды, не менявшиеся структурно десятилетия, чем-то похоже на Social Security Numbers в США, с одной стороны объект пристального внимания и страха, с другой стороны малозначащие сами по себе.
Что важно знать о номере паспорта:
- номера паспортов не уникальны (не спрашивайте меня, я не отвечу), просто посмотрите на портал госуслуг и вспомните что там СНИЛС, а не номер паспорта. Подробностей тут не расскажу
- в отличие от других кодов у него нет проверочного номера
- первые 2 цифры серии паспорта - это код субъекта федерации, следующие 2 цифры серии - это номер года печати бланка, как правило соответствует или предшествует дате выдачи паспорта.
- остальные цифры инкрементальны, но нет какого-то известного алгоритма как они распределялись по УФМС/ОВД для выдачи поэтому нельзя оценить по номерам паспортов, например, общее число выданных паспортов за год или дату выдачи конкретного.
Из-за всего этого прямое раскрытие номеров паспортов проголосовавших дистанционно - это, конечно, не раскрытие персональных данных. Это раскрытие факта голосования, да, но не персональных данных формально.
Фактически эту базу стоит воспринимать как состоящую из 3 значений:
- номер паспорта
- признак что его владелец жив
- признак что его владелец использовал интернет-голосование (имеет телефон, компьютер и тд.)
Для всех кто находится в правовом поле эти данные ничего не дадут потому что большинство подобных пользователей не оперируют базами с паспортными данными людей.
А вот если мы говорим о неэтичных/пограничных моделях использования данных, то они, конечно, есть.
1. Всяческие торговцы базами "база покупателей БАДов", "база игроков Форекс", "база посетителей казино" могут теперь обогащать свои данные дополнительной информацией, голосовал ли человек онлайн. Можно ли это применить во вредоносных целях? Я по прежнему не могу придумать. Вижу лишь возможность обогащения одних баз данных другими данными.
2. Контроль голосования на крупных предприятиях. Если предположить что на некоторых предприятиях контролируют явку граждан на выборы, то о проверке голосовавших на УИКах руководство предприятий может договориться на месте, а проверку проголосовавших онлайн можно сделать только с помощью вот такой вот базы
3. Косвенная социология, вроде той что делала медуза по номерам бланков паспортов, выявляя потенциальные возрастные и территориальные группы голосовавших. Очень сомнительная социология, потому что нет возможности сравнить с демографией голосовавших в принципе, а не только онлайн.
Выводов у меня нет, я по прежнему считаю что персональных данных здесь нет, но публикация базы паспортов (базы хэшей) - это ошибка.
Кстати, когда в мае 2019 года я писал о том как реально извлекать закодированные персональные данные из цифровых подписей к документам - вот это была реальная утечка данных. Хочешь узнать чей-то СНИЛС, найди документ который этот человек подписал цифровой подписью (с)
Там тоже применялось "кодирование информации", но без хэш сумм.
Вся эта ситуация и многочисленные ранее говорят нам постоянно лишь об одном непреложном факте - в России нет регулятора защищающего права граждан на приватность. Обсуждать роль Роскомнадзора - это просто бессмысленно тратить время. Нужна ли реформа в этой сфере? Необходима.
#privacy #personaldata
Номера паспортов в России - это тоже некоторые уникальные коды, не менявшиеся структурно десятилетия, чем-то похоже на Social Security Numbers в США, с одной стороны объект пристального внимания и страха, с другой стороны малозначащие сами по себе.
Что важно знать о номере паспорта:
- номера паспортов не уникальны (не спрашивайте меня, я не отвечу), просто посмотрите на портал госуслуг и вспомните что там СНИЛС, а не номер паспорта. Подробностей тут не расскажу
- в отличие от других кодов у него нет проверочного номера
- первые 2 цифры серии паспорта - это код субъекта федерации, следующие 2 цифры серии - это номер года печати бланка, как правило соответствует или предшествует дате выдачи паспорта.
- остальные цифры инкрементальны, но нет какого-то известного алгоритма как они распределялись по УФМС/ОВД для выдачи поэтому нельзя оценить по номерам паспортов, например, общее число выданных паспортов за год или дату выдачи конкретного.
Из-за всего этого прямое раскрытие номеров паспортов проголосовавших дистанционно - это, конечно, не раскрытие персональных данных. Это раскрытие факта голосования, да, но не персональных данных формально.
Фактически эту базу стоит воспринимать как состоящую из 3 значений:
- номер паспорта
- признак что его владелец жив
- признак что его владелец использовал интернет-голосование (имеет телефон, компьютер и тд.)
Для всех кто находится в правовом поле эти данные ничего не дадут потому что большинство подобных пользователей не оперируют базами с паспортными данными людей.
А вот если мы говорим о неэтичных/пограничных моделях использования данных, то они, конечно, есть.
1. Всяческие торговцы базами "база покупателей БАДов", "база игроков Форекс", "база посетителей казино" могут теперь обогащать свои данные дополнительной информацией, голосовал ли человек онлайн. Можно ли это применить во вредоносных целях? Я по прежнему не могу придумать. Вижу лишь возможность обогащения одних баз данных другими данными.
2. Контроль голосования на крупных предприятиях. Если предположить что на некоторых предприятиях контролируют явку граждан на выборы, то о проверке голосовавших на УИКах руководство предприятий может договориться на месте, а проверку проголосовавших онлайн можно сделать только с помощью вот такой вот базы
3. Косвенная социология, вроде той что делала медуза по номерам бланков паспортов, выявляя потенциальные возрастные и территориальные группы голосовавших. Очень сомнительная социология, потому что нет возможности сравнить с демографией голосовавших в принципе, а не только онлайн.
Выводов у меня нет, я по прежнему считаю что персональных данных здесь нет, но публикация базы паспортов (базы хэшей) - это ошибка.
Кстати, когда в мае 2019 года я писал о том как реально извлекать закодированные персональные данные из цифровых подписей к документам - вот это была реальная утечка данных. Хочешь узнать чей-то СНИЛС, найди документ который этот человек подписал цифровой подписью (с)
Там тоже применялось "кодирование информации", но без хэш сумм.
Вся эта ситуация и многочисленные ранее говорят нам постоянно лишь об одном непреложном факте - в России нет регулятора защищающего права граждан на приватность. Обсуждать роль Роскомнадзора - это просто бессмысленно тратить время. Нужна ли реформа в этой сфере? Необходима.
#privacy #personaldata
Помните в мае 2019 года я публиковал доклад об утечках персональных данных из государственных информационных систем? [1] Хотите знать что изменилось за эти годы? А ничего не изменилось.
1. Официальной реакции Роскомнадзора не было да и диалога с ними тоже.
2. Официального технологического аудита информационных систем не было
3. Кое-что происходило кулуарно и непублично, об этом эхом мне потом рассказывали коллеги из разных органов власти.
4. Во многих случаях никакие изменения в информационных системах не вносились и данные по прежнему публикуются.
В качестве примера сайт https://xn--80akibckndbdsx1ezg.xn--p1ai/ от Роструда где собираются жалобы граждан. И, конечно же, они публикуются.
Мне очень не хотелось возвращаться к этой теме, потому что у неё есть сопутствующих ущерб, больше людей узнают об утечках и знают где их найти.
Ссылки:
[1] https://begtin.tech/pdleaks-p3-govsys/
#privacy #PersonalData #leaks
_______
Источник: https://t.iss.one/begtin/2213
1. Официальной реакции Роскомнадзора не было да и диалога с ними тоже.
2. Официального технологического аудита информационных систем не было
3. Кое-что происходило кулуарно и непублично, об этом эхом мне потом рассказывали коллеги из разных органов власти.
4. Во многих случаях никакие изменения в информационных системах не вносились и данные по прежнему публикуются.
В качестве примера сайт https://xn--80akibckndbdsx1ezg.xn--p1ai/ от Роструда где собираются жалобы граждан. И, конечно же, они публикуются.
Мне очень не хотелось возвращаться к этой теме, потому что у неё есть сопутствующих ущерб, больше людей узнают об утечках и знают где их найти.
Ссылки:
[1] https://begtin.tech/pdleaks-p3-govsys/
#privacy #PersonalData #leaks
_______
Источник: https://t.iss.one/begtin/2213
В The Bell вышла заметка про стоимость расследования отравления Навального [1] с оценками того что как и сколько стоит на чёрном рынке купить информацию о человеке [1]. Всё это, не так дорого, в общей сложности сбор данных на 11 человек обошёлся чуть более миллиона. Что, впрочем, в любом случае было с нарушением российского законодательства, но показательно то насколько доступны эти данные и насколько отечественные правоохранители не способны предотвращать доступ к ним.
И здесь же, специально для тех кто считает что рядовому человеку ничего не грозит, в Lenta.ru время от времени проскакивают любопытные лонгриды и один из них «Тюрьма — это самый дорогой отель» [2] про профессионального мошенника. Чтение весьма познавательно и, если людям с небольшими доходами опасаться (возможно) почти нечего, то людям с доходами выше среднего ещё как есть чего бояться.
Я сам очень не люблю приводить примеры того как можно злоупотреблять персональными данными, но тут раз уж опубликовано, то почитайте.
Ссылки:
[1] https://thebell.io/million-za-vseh-skolko-stoilo-rassledovanie-bellingcat-o-navalnom
[2] https://lenta.ru/articles/2020/12/14/baltazar/
#privacy #crime #personaldata
_______
Source: https://t.iss.one/begtin/2377
И здесь же, специально для тех кто считает что рядовому человеку ничего не грозит, в Lenta.ru время от времени проскакивают любопытные лонгриды и один из них «Тюрьма — это самый дорогой отель» [2] про профессионального мошенника. Чтение весьма познавательно и, если людям с небольшими доходами опасаться (возможно) почти нечего, то людям с доходами выше среднего ещё как есть чего бояться.
Я сам очень не люблю приводить примеры того как можно злоупотреблять персональными данными, но тут раз уж опубликовано, то почитайте.
Ссылки:
[1] https://thebell.io/million-za-vseh-skolko-stoilo-rassledovanie-bellingcat-o-navalnom
[2] https://lenta.ru/articles/2020/12/14/baltazar/
#privacy #crime #personaldata
_______
Source: https://t.iss.one/begtin/2377
The Bell
Миллион за всех: сколько стоило расследование Bellingcat о Навальном
Расследование Bellingcat о предполагаемых отравителях Алексея Навального позволило установить вероятную картину отравления и имена участников событий, а главное — представило доказательств
Монетизация обезличивания
Активное обсуждение проекта федерального закона, посвященного изменению регулирования обезличенных персональных данных идет последние две недели во многих каналах:
@rspectr @ict_moscow_ai @DataEconomyRU @GDPRru @privacyexperts @bureaucraticsecurity @Lgltech @Persdata @rks_legal_talk @roskomsvoboda @antidigital
Но пока аргументы всех сторон про обезличивание / анонимизацию носят исключительно качественный характер.
Ни пояснительная записка к законопроекту, ни традиционно пустое ФЭО, ни обсуждаемые поправки не содержат никаких расчетов:
- издержки операторов персональных данных на сбор / хранение согласий на обработку данных;
- издержки операторов на обезличивание;
- оценка ущерба субъектов персональных данных при использовании их данных без согласия или при де-обезличивании;
- объем рынка big data (ведь весь сыр-бор именно из-за него) и перспективы его роста в России.
При отсутствии этих данных любые правовые модели носят исключительно умозрительный характер, скрывая реальные цели лоббистов любой из продвигаемых моделей регулирования.
Короче, покажите вашимозоли расчёты!
#PersonalData #data #данные #BigData #EvidenceBased
_______
Источник: https://t.iss.one/smart_regulation/3345
Активное обсуждение проекта федерального закона, посвященного изменению регулирования обезличенных персональных данных идет последние две недели во многих каналах:
@rspectr @ict_moscow_ai @DataEconomyRU @GDPRru @privacyexperts @bureaucraticsecurity @Lgltech @Persdata @rks_legal_talk @roskomsvoboda @antidigital
Но пока аргументы всех сторон про обезличивание / анонимизацию носят исключительно качественный характер.
Ни пояснительная записка к законопроекту, ни традиционно пустое ФЭО, ни обсуждаемые поправки не содержат никаких расчетов:
- издержки операторов персональных данных на сбор / хранение согласий на обработку данных;
- издержки операторов на обезличивание;
- оценка ущерба субъектов персональных данных при использовании их данных без согласия или при де-обезличивании;
- объем рынка big data (ведь весь сыр-бор именно из-за него) и перспективы его роста в России.
При отсутствии этих данных любые правовые модели носят исключительно умозрительный характер, скрывая реальные цели лоббистов любой из продвигаемых моделей регулирования.
Короче, покажите ваши
#PersonalData #data #данные #BigData #EvidenceBased
_______
Источник: https://t.iss.one/smart_regulation/3345
sozd.duma.gov.ru
№992331-7 Законопроект :: Система обеспечения законодательной деятельности
Информационный ресурс Государственной Думы. Здесь собрана информация о рассмотрении законопроектов и проектов постановлений Государственной Думы
Хуже утечек персональных данных у российских госорганов - это сотрудники органов власти и госучреждений публикующих списки людей с их паспортными данными, адресами, номерами СНИЛС и так далее в открытом доступе.
Вот к примеру в одном из муниципальных районов официально выложен на сайте "СПИСОК ГРАЖДАН СОСТОЯЩИХ НА УЧЁТЕ В КАЧЕСТВЕ НУЖДАЮЩИХСЯ В ЖИЛЫХ ПОМЕЩЕНИЯХ, ПРЕДОСТАВЛЯЕМЫХ ПО ДОГОВОРАМ СОЦИАЛЬНОГО НАЙМА" в виде Excel файла.
В других случаях выложены договора, паспортные данные ИП получившего лицензию на транспортные перевозки или граждан получающих социальные выплаты из муниципального бюджета или победителей спортивных соревнований.
Мало в каких странах в таких объёмах требуют персональные данные гражданина и одновременно так халатно к этому относятся.
#privacy #personaldata
_______
Источник | #begtin
Вот к примеру в одном из муниципальных районов официально выложен на сайте "СПИСОК ГРАЖДАН СОСТОЯЩИХ НА УЧЁТЕ В КАЧЕСТВЕ НУЖДАЮЩИХСЯ В ЖИЛЫХ ПОМЕЩЕНИЯХ, ПРЕДОСТАВЛЯЕМЫХ ПО ДОГОВОРАМ СОЦИАЛЬНОГО НАЙМА" в виде Excel файла.
В других случаях выложены договора, паспортные данные ИП получившего лицензию на транспортные перевозки или граждан получающих социальные выплаты из муниципального бюджета или победителей спортивных соревнований.
Мало в каких странах в таких объёмах требуют персональные данные гражданина и одновременно так халатно к этому относятся.
#privacy #personaldata
_______
Источник | #begtin
Я приведу всё же ещё несколько ещё более конкретных примеров в качестве иллюстрации.
Реестры требований кредиторов также бывают в открытом доступе что можно увидеть своими глазами на примере сайта союза «Межрегиональный центр арбитражных управляющих» [1].
У сайта неактуальный сертификат, не скачиваются часть документов, но среди тех что доступны есть подробные файлы отчетов арбитражных управляющих и реестры кредиторов. В некоторых реестрах кредиторов только юр. лица, но во многих есть списки работников перед которыми не закрыты трудовые обязательства, вот к примеру [2].
Или вот пример как Департамент строительства и транспорта Белгородской области публикует реестры пострадавших граждан при долевом строительстве [3]. Видимо полагают что граждане пострадали недостаточно.
В аналогичном реестре в Республике Марий-Эл нет полных ФИО и паспортных данных [4], а в ростовской области только ФИО без иной идентифицирующей информации [5] и в Ленинградской области реестр вообще даже без ФИО [6]
В других регионах такие реестры просто не общедоступны.
Можно обратить внимание что часто объектами раскрытия данных являются не преступники, не те кто был уведомлен что их данные опубликуют, а рядовые граждане, виктимизируемые лишь тем что госорганы и иные организации в одностороннем порядке решили разместить их данные в открытом доступе.
А я не перестаю напоминать что это массовое явление за пределами фокуса интереса Роскомнадзора.
Ссылки:
[1] npmcau.ru
[2] www.npmcau.ru
[3] www.belgorodstroy.ru
[4] mari-el.gov.ru
[5] www.bldnadz.donland.ru
[6] expert.lenobl.ru
#privacy #PersonalData
_______
Источник | #begtin
Реестры требований кредиторов также бывают в открытом доступе что можно увидеть своими глазами на примере сайта союза «Межрегиональный центр арбитражных управляющих» [1].
У сайта неактуальный сертификат, не скачиваются часть документов, но среди тех что доступны есть подробные файлы отчетов арбитражных управляющих и реестры кредиторов. В некоторых реестрах кредиторов только юр. лица, но во многих есть списки работников перед которыми не закрыты трудовые обязательства, вот к примеру [2].
Или вот пример как Департамент строительства и транспорта Белгородской области публикует реестры пострадавших граждан при долевом строительстве [3]. Видимо полагают что граждане пострадали недостаточно.
В аналогичном реестре в Республике Марий-Эл нет полных ФИО и паспортных данных [4], а в ростовской области только ФИО без иной идентифицирующей информации [5] и в Ленинградской области реестр вообще даже без ФИО [6]
В других регионах такие реестры просто не общедоступны.
Можно обратить внимание что часто объектами раскрытия данных являются не преступники, не те кто был уведомлен что их данные опубликуют, а рядовые граждане, виктимизируемые лишь тем что госорганы и иные организации в одностороннем порядке решили разместить их данные в открытом доступе.
А я не перестаю напоминать что это массовое явление за пределами фокуса интереса Роскомнадзора.
Ссылки:
[1] npmcau.ru
[2] www.npmcau.ru
[3] www.belgorodstroy.ru
[4] mari-el.gov.ru
[5] www.bldnadz.donland.ru
[6] expert.lenobl.ru
#privacy #PersonalData
_______
Источник | #begtin
Аэрофлот при входе запросил согласие на обработку персональных данных, а там полный спектр организаций
ООО Иннодата
ООО Базис
и ещё и Авиакомпания Победа
Причём запрашивают они это согласие безальтернативно, нельзя отказаться и не передавать персональные данные какой-либо компании, но хотя бы все хорошо подсчитаны и понятно кому слать запросы на отзыв согласия на обработку данных и кого проверять на предмет наличия права на такую обработку данных.
#privacy #personaldata
_______
Источник | #begtin
ООО Иннодата
ООО Базис
и ещё и Авиакомпания Победа
Причём запрашивают они это согласие безальтернативно, нельзя отказаться и не передавать персональные данные какой-либо компании, но хотя бы все хорошо подсчитаны и понятно кому слать запросы на отзыв согласия на обработку данных и кого проверять на предмет наличия права на такую обработку данных.
#privacy #personaldata
_______
Источник | #begtin
Я рассказывал ранее что госорганы крайне халатно относятся к персональным данным граждан, особенно граждан которые вступают с ними в любые взаимоотношения, например, трудовые или договорные. Ещё один наглядный пример федерального уровня, Минобороны России продаёт высвобождаемое имущество и публикует протоколы торгов включая паспортные данные представителей компаний. Их довольно легко "нагуглить" запросом 'паспорт серия site:mil.ru/files filetype:pdf' [1]
Удивительно что никто из граждан так и не засудил представителей Минобороны за такое.
И это один пример из тысяч и не все они находятся так просто, но пытливые умы могут найти многое.
Ссылки:
[1] www.google.com
#leaks #milru #government #privacy #personaldata
_______
Источник | #begtin
Удивительно что никто из граждан так и не засудил представителей Минобороны за такое.
И это один пример из тысяч и не все они находятся так просто, но пытливые умы могут найти многое.
Ссылки:
[1] www.google.com
#leaks #milru #government #privacy #personaldata
_______
Источник | #begtin